Ben 50 app android copiano segretamente le chat di WhatsApp: quasi niente sembra funzionare per limitarle drasticamente.
Una nuova campagna di malware ha coinvolto oltre cinquanta applicazioni disponibili sul Google Play Store, mettendo in evidenza criticità nella distribuzione di software apparentemente legittimo. Le app, presentate come strumenti utili – tra cui cleaner di sistema e gallerie fotografiche – funzionavano regolarmente e non richiedevano autorizzazioni sospette, consentendo al codice dannoso di passare inosservato agli utenti e ai controlli di sicurezza.
L’obiettivo principale degli sviluppatori era l’accesso ai dati sensibili, con un focus specifico sulle credenziali dell’app di messaggistica WhatsApp, uno dei servizi più utilizzati a livello globale.
Tecniche di occultamento e attivazione del malware
Il malware, identificato con il nome NoVoice, si distingue per una struttura complessa e stratificata. Secondo le analisi pubblicate da Bleeping Computer, il codice malevolo veniva nascosto all’interno di file immagine apparentemente innocui e integrato tra componenti software riconducibili a piattaforme come Meta.
Una volta installato, il sistema avviava una scansione dell’ambiente operativo, utilizzando numerosi meccanismi per evitare l’esecuzione in contesti di analisi. Questo comportamento consentiva al malware di adattarsi dinamicamente al dispositivo e ridurre il rischio di individuazione.
Accesso al sistema e sfruttamento delle vulnerabilità
Dopo aver individuato un dispositivo idoneo, il malware tentava di ottenere privilegi di accesso sfruttando vulnerabilità del sistema Android corrette in aggiornamenti rilasciati tra il 2016 e il 2021. Nei dispositivi non aggiornati, questa fase risultava particolarmente efficace.
Una volta ottenuto l’accesso, il Trojan disabilitava alcuni meccanismi di sicurezza e si integrava nel sistema, raggiungendo un livello di controllo che consentiva operazioni avanzate. Questo processo rappresenta uno degli elementi più critici, poiché permette al malware di operare in profondità senza interferenze visibili.
Persistenza e resistenza ai tentativi di rimozione
Uno degli aspetti più rilevanti riguarda la capacità del malware di mantenersi attivo anche dopo interventi di pulizia. Le analisi di McAfee indicano che NoVoice si installa nella partizione di sistema, una sezione normalmente non interessata dai ripristini standard.
Un processo in background provvede a reinstallare automaticamente i componenti rimossi, garantendo una presenza costante. Questo comportamento rende inefficaci le procedure tradizionali di reset, configurando una persistenza elevata e difficile da contrastare.
Furto di dati e clonazione degli account
Una volta completata l’infezione, il malware interveniva direttamente sulle applicazioni in uso, intercettando i dati durante l’esecuzione. Nel caso di WhatsApp, venivano raccolte informazioni sensibili come chiavi di cifratura, identificativi dell’account e dati di backup.
Questi elementi consentivano agli aggressori di replicare la sessione su altri dispositivi, ottenendo accesso a conversazioni, contatti e contenuti multimediali. Il risultato è una violazione completa della privacy digitale, con possibili conseguenze che includono furto di identità e diffusione di contenuti fraudolenti.
Rimozione delle app e rischi per gli utenti
A seguito delle segnalazioni, Google ha rimosso le applicazioni coinvolte dallo store ufficiale. Tuttavia, il rischio permane per gli utenti che avevano già installato questi software, i cui dispositivi possono essere considerati compromessi.
Le indicazioni degli esperti sottolineano la necessità di verificare eventuali accessi non autorizzati e rafforzare la sicurezza degli account, in particolare quelli legati a servizi di messaggistica e cloud.
Aggiornamenti di sicurezza e prevenzione
Il caso evidenzia un elemento chiave nella protezione dei dispositivi: l’importanza degli aggiornamenti. Le vulnerabilità sfruttate dal malware risultano già corrette nei sistemi più recenti, rendendo gli smartphone aggiornati significativamente meno esposti.
Al contrario, i dispositivi con patch di sicurezza obsolete, soprattutto antecedenti al 2021, rappresentano un bersaglio più vulnerabile. In questo contesto, la sicurezza non dipende esclusivamente dalla fonte di download delle app, ma anche dallo stato del sistema operativo, evidenziando come la manutenzione software sia un fattore determinante nella difesa dalle minacce digitali.
